Zwei-Faktor-Authentifizierung & TOTP 2026: Methoden, Risiken, Empfehlungen
Ein Passwort allein schützt deine Konten nicht mehr zuverlässig. Wer 2026 ernsthaft über Sicherheit nachdenkt, kommt an einem zweiten Faktor nicht vorbei. Doch nicht jede 2FA-Methode ist gleich gut: SMS-Codes lassen sich abfangen, Push-Bestätigungen kann man wegklicken, und der Klassiker TOTP basiert auf einem geteilten Geheimnis und der aktuellen Uhrzeit. Dieser Artikel ordnet die gängigen Verfahren nüchtern ein, erklärt, wie TOTP technisch funktioniert, warum manche Methoden phishing-resistent sind und andere nicht, und gibt eine klare Empfehlung, womit du anfangen solltest.
Was Zwei-Faktor-Authentifizierung überhaupt ist
Zwei-Faktor-Authentifizierung (2FA) bedeutet, dass du dich nicht nur mit einem Passwort anmeldest, sondern zusätzlich einen zweiten, unabhängigen Nachweis erbringst. Die Idee dahinter ist einfach: Selbst wenn jemand dein Passwort kennt, kommt er ohne den zweiten Faktor nicht in dein Konto.
Sicherheitsfachleute unterscheiden drei Kategorien von Faktoren. Wissen ist etwas, das du kennst, also ein Passwort oder eine PIN. Besitz ist etwas, das du hast, etwa dein Smartphone oder ein Hardware-Token. Inhärenz ist etwas, das du bist, also biometrische Merkmale wie ein Fingerabdruck oder dein Gesicht.
Echte 2FA kombiniert zwei verschiedene Kategorien. Zwei Passwörter sind keine 2FA, weil beide aus derselben Kategorie »Wissen« stammen. Die typische Kombination ist Wissen plus Besitz: Passwort plus ein Code vom Handy. Stand 2026 ist das für die meisten Online-Dienste der gängige Mindeststandard.
SMS-TAN: bequem, aber unsicher
Der Code per SMS ist die am weitesten verbreitete Form von 2FA, weil sie keine zusätzliche App braucht und jeder eine Telefonnummer hat. Genau diese Bequemlichkeit ist aber auch ihr Problem: SMS war nie als sicherer Übertragungsweg gedacht.
Angreifer nutzen mehrere Schwachstellen aus. Beim SIM-Swapping überreden sie deinen Mobilfunkanbieter, deine Nummer auf eine neue SIM-Karte zu portieren, und empfangen ab dann deine SMS. Zusätzlich gibt es bekannte Schwächen im Signalisierungsprotokoll SS7, über die sich SMS unter Umständen mitlesen lassen. Und selbst ohne all das kann ein Phishing-Angreifer dich auf einer gefälschten Seite den per SMS erhaltenen Code in Echtzeit eintippen lassen und ihn sofort weiterverwenden.
Die Empfehlung ist deshalb eindeutig: SMS-TAN ist besser als gar kein zweiter Faktor, aber wo immer möglich solltest du auf ein stärkeres Verfahren wechseln. Wenn ein Dienst nur SMS anbietet, ist sie eine Notlösung, kein Ziel.
TOTP: Codes aus Zeit und Geheimnis
TOTP steht für Time-based One-Time Password und ist in RFC 6238 standardisiert. Eine Authenticator-App auf deinem Smartphone erzeugt daraus alle 30s einen neuen, meist sechsstelligen Code. Du gibst diesen Code zusätzlich zum Passwort ein, und der Dienst prüft, ob er stimmt.
Das Verfahren funktioniert vollständig offline. App und Server teilen sich beim Einrichten ein geheimes Geheimnis, das sogenannte Shared Secret. Beide kennen außerdem die aktuelle Uhrzeit. Aus dem Geheimnis und einem aus der Zeit abgeleiteten Zähler berechnen beide unabhängig denselben Code. Es muss also nichts über das Netz übertragen werden, der Code entsteht lokal auf deinem Gerät.
Technisch steckt dahinter ein HMAC, in der Praxis häufig HMAC-SHA1, über den Zeitzähler. Aus dem resultierenden Hash wird nach einem festen Verfahren der sichtbare Zahlencode extrahiert. Weil der Zähler sich alle 30 Sekunden ändert, ändert sich auch der Code, ohne dass App und Server miteinander reden müssen. Die meisten Dienste akzeptieren aus Toleranzgründen auch den vorherigen oder nächsten Zeitschritt, damit kleine Uhrenabweichungen dich nicht aussperren.
So läuft die TOTP-Einrichtung per QR-Code ab
Wenn du 2FA mit einer Authenticator-App aktivierst, zeigt dir der Dienst in der Regel einen QR-Code an. Dieser QR-Code ist kein Selbstzweck und auch kein Anmeldecode, sondern der bequeme Transportweg für das Shared Secret.
Der Ablauf ist Schritt für Schritt: Erstens generiert der Server ein zufälliges Geheimnis für dein Konto. Zweitens kodiert er dieses Geheimnis zusammen mit Metadaten wie Kontoname und Dienstname in eine Zeichenkette und stellt sie als QR-Code dar. Drittens scannst du den QR-Code mit deiner Authenticator-App, die das Geheimnis ausliest und speichert. Viertens berechnet die App ab sofort die zeitbasierten Codes, und zur Bestätigung gibst du einmal den aktuellen Code ein, damit der Server weiß, dass die Einrichtung geklappt hat.
Wichtig zu verstehen: Der QR-Code enthält das eigentliche Geheimnis. Wer ihn abfotografiert, kann dieselben Codes erzeugen wie du. Behandle das Einrichtungsfenster deshalb vertraulich, mache keine Screenshots, die in der Cloud landen, und teile den QR-Code mit niemandem. Viele Dienste zeigen alternativ das Geheimnis als abtippbare Zeichenkette an, falls du keine Kamera nutzen kannst.
Push-Bestätigung und das Problem der MFA-Fatigue
Manche Dienste schicken statt eines Codes eine Push-Benachrichtigung auf dein Smartphone, die du nur mit einem Tippen bestätigst. Das ist komfortabel, weil du nichts abtippen musst, hat aber eine eigene Schwachstelle.
Angreifer, die dein Passwort bereits kennen, lösen einfach immer wieder Anmeldeversuche aus und überfluten dich mit Bestätigungsanfragen. Dieses Prompt-Bombing oder die sogenannte MFA-Fatigue setzt darauf, dass du irgendwann genervt oder unaufmerksam eine Anfrage bestätigst, etwa mitten in der Nacht. Genau ein solcher Klick reicht dem Angreifer.
Modernere Push-Verfahren bauen deshalb Gegenmaßnahmen ein, etwa eine zweistellige Zahl, die du auf dem Anmeldebildschirm siehst und in der App auswählen musst. Das verhindert blindes Wegklicken. Trotzdem bleibt Push anfälliger als Verfahren, die eine echte Domain-Bindung erzwingen.
Hardware-Token, FIDO2 und Passkeys
Die stärksten Verfahren binden den zweiten Faktor an spezielle Hardware oder an Kryptografie, die nicht abgetippt werden kann. Hardware-Token nach dem FIDO2-Standard, etwa physische Sicherheitsschlüssel, sind besitzgebunden und gelten als phishing-resistent.
Passkeys auf Basis von WebAuthn gehen in dieselbe Richtung, brauchen aber kein separates Gerät. Sie sind an die Domain des Dienstes gebunden, enthalten kein abtippbares Geheimnis und können daher nicht über eine gefälschte Seite abgegriffen werden. Wie Passkeys im Detail funktionieren und warum sie Passwörter perspektivisch ablösen, behandeln wir ausführlich im Passkeys-Artikel.
Der entscheidende Vorteil dieser Verfahren ist, dass die Anmeldung kryptografisch an die echte Adresse des Dienstes gebunden ist. Eine Phishing-Seite unter einer anderen Domain bekommt schlicht keine gültige Antwort, egal wie überzeugend sie aussieht.
Warum Phishing-Resistenz der entscheidende Unterschied ist
Der wichtigste Trennstrich zwischen den Methoden verläuft bei der Phishing-Resistenz. SMS-TAN und TOTP sind grundsätzlich phishbar: Beide produzieren einen Code, den du irgendwo eintippst. Eine gefälschte Anmeldeseite kann diesen Code in Echtzeit an den echten Dienst weiterleiten und sich so einloggen, bevor der Code abläuft.
Das heißt nicht, dass TOTP nutzlos ist. Gegen Datenlecks, Passwort-Wiederverwendung und automatisierte Angriffe schützt es sehr gut. Nur gegen einen gezielten, geschickt aufgebauten Phishing-Angriff bietet ein abtippbarer Code keinen vollständigen Schutz.
FIDO2 und Passkeys sind dagegen nicht phishbar, weil die Anmeldung an die echte Domain gebunden ist und der Browser diese Bindung prüft. Selbst wenn du auf einer perfekt nachgebauten Seite landest, gibt dein Sicherheitsschlüssel oder Passkey dort keine gültige Antwort heraus. Stand 2026 ist das der stärkste verfügbare Schutz für normale Konten.
Backup-Codes und das Risiko der Aussperrung
Ein oft unterschätzter Punkt: Was passiert, wenn dein Smartphone verloren geht oder kaputt ist? Ohne Vorsorge sperrst du dich selbst aus deinem eigenen Konto aus, weil der zweite Faktor fehlt.
Deshalb stellen die meisten Dienste beim Einrichten von 2FA eine Liste von Backup-Codes oder Recovery-Codes bereit. Das sind einmal verwendbare Notfallcodes, mit denen du dich auch ohne dein primäres Gerät anmelden kannst. Speichere sie sicher, etwa im Passwortmanager oder ausgedruckt an einem geschützten Ort, aber niemals offen im selben Posteingang, den du damit absichern willst.
Sinnvoll ist außerdem, einen zweiten Faktor doppelt zu hinterlegen, also etwa zwei Hardware-Token oder die TOTP-Einrichtung auf zwei Geräten. So bleibt dein Zugang erhalten, selbst wenn ein Gerät ausfällt.
Empfehlung 2026: Womit du anfangen solltest
Die Prioritäten sind Stand 2026 klar. Bewege dich weg von SMS, nutze mindestens TOTP über eine Authenticator-App, und setze dort, wo es angeboten wird, auf Passkeys oder Hardware-Token. Jeder Schritt in dieser Reihenfolge erhöht dein Sicherheitsniveau spürbar.
Genauso wichtig ist die Reihenfolge der Konten. Aktiviere 2FA zuerst für die zentralen Zugänge: dein E-Mail-Postfach, deinen Passwortmanager, dein Bankkonto und alle Konten, über die sich andere Zugänge zurücksetzen lassen. Das E-Mail-Postfach ist dabei besonders kritisch, weil darüber viele andere Passwort-Resets laufen.
Und vergiss den ersten Faktor nicht: 2FA ersetzt kein gutes Passwort, sondern ergänzt es. Lange, einzigartige Passwörter pro Dienst, verwaltet in einem Passwortmanager, bleiben die Grundlage. Erst die Kombination aus starkem Passwort und einem phishing-resistenten zweiten Faktor macht deine Konten wirklich widerstandsfähig.
Was Tools auf CalcSI helfen
Für die Bausteine rund um 2FA und sichere Anmeldung findest du auf CalcSI passende Werkzeuge, die alle direkt im Browser laufen. Der erste Faktor bleibt dein Passwort, und genau dafür gibt es Unterstützung.
Mit dem Passwort-Generator erzeugst du lange, einzigartige Passwörter für jeden Dienst, ohne dir etwas ausdenken zu müssen. Beim Einrichten von TOTP hilft der QR-Code-Generator, wenn du selbst Setup-QR-Codes erstellen oder verstehen willst, wie das Shared Secret transportiert wird. Wer nachvollziehen möchte, wie aus Eingaben deterministische Prüfsummen entstehen, schaut sich den Hash-Generator an, denn dieselbe HMAC-Logik steckt im Kern von TOTP. Und für Entwickler, die mit tokenbasierter Authentifizierung arbeiten, zeigt der JWT-Decoder, was in einem Authentifizierungs-Token tatsächlich steht.
Kommentare
Die Kommentare werden von Disqus bereitgestellt. Bevor sie geladen werden, brauchen wir deine Einwilligung — Disqus ist ein Drittanbieter und setzt eigene Cookies.